Mastodon
Zuletzt aktualisiert am
Bitwarden

Bitwarden: Online-Passwortmanager zur Selbstbeherbergung

KeePass und seine Ableger haben sich bereits einen Namen als sichere Open-Source-Lösung für die lokale Passwortverwaltung gemacht. Synchronisierung ist zwar machbar, aber mangels Online-Dienst nicht eingebaut. Und, spätestens wenn Mehrbenutzer-Szenarien im Raume stehen, stößt KeePass an seine Grenzen. Bühne frei für Bitwarden - den serverbasierten Open-Source-Passwortmanager zum Selberhosten.

Passwörter sind unsere Digitalen Kronjuwelen™. Von A wie Amazon bis Z wie Zalando: wer ihnen verlustig geht, sperrt sich bestenfalls aus, im schlimmsten Fall drohen Ärger und Kosten in Hülle und Fülle. Damit der Schaden begrenzt wird (Stichwort: Credential Stuffing), empfiehlt sich ein eigenes Hochsicherheitspasswort für jeden einzelnen Online-Dienst, denn nicht selten sind es eben diese Anbieter, denen Ihr  Passwort verloren geht. Somit sind Passwortmanager unerlässlich, denn die wenigsten Menschen dürften sich Passwörter wie b+8Cc/W@VpGtzy:e,z'D3H.G3o%`X merken können.

Passwortmanager + Online-Dienst + Privatsphäre =  Bitwarden

Wer an Online-Passwortmanager denkt, dem kommen vermutlich zunächst die proprietären Platzhirsche LastPass und 1Password in den Sinn. Mit Bitwarden ist jedoch eine freie Alternative erwachsen, die jene sogar übertrifft - nicht nur in Puncto Privatsphäre, sondern besonders auch im Gratistarif, der weitaus mehr zu bieten hat als die freien Tarife der proprietären Konkurrenz. Grund genug, sich Bitwarden genauer anzuschauen.

Bitwarden Web-Interface. Image: https://bitwarden.com/products
Ein Blick auf die Konkurrenz

Beispiel LastPass: Seit März dieses Jahres beinhaltet der Gratistarif nicht mehr die geräteübergreifende Synchronisation, es heißt also Handy oder Desktop, aber nicht mehr beides. Selbstverständlich führt dies das Prinzip eines Online-Passwortmanagers für Gratisnutzer ad absurdum, ist bestimmt aber eine gute Maßnahme zur Verkaufsförderung. Das Motiv der Gewinnmaximierung findet sich bei LastPass auch an anderer Stelle: Die Android-App bringt großzügigerweise gleich fünf Tracker mit (Stand: 08.12.21, v5.4.1.7572): AppsFlyer, Google Crashlytics, Google Firebase Analytics, Pendo und Segment.

Der Sicherheitsforscher Mike Kuketz beschreibt diesen Sachverhalt so:

Für eine App, die äußerst sensible Daten (Passwörter) verarbeitet, ist das schlichtweg ein Armutszeugnis. Werbe- und Analytik-Module haben darin schlichtweg nichts verloren – es ist vollkommen indiskutabel, diese in Passwort-Manager-Apps zu integrieren.

Herr Kuketz war im verlinkten Artikel auch gleich so freundlich, einmal zu schauen, was ein einziger Tracker (Mixpanel, später entfernt) noch vor der ersten Nutzerinteraktion mit der App (direkt nach dem  Start) nach Hause telefoniert:

  • „$os“:“Android“
  • „$os_version“:“10″
  • „$manufacturer“:“Xiaomi“
  • „$model“:“Mi A1″
  • „$google_play_services“:“available“
  • „$screen_height“:1920
  • „$screen_width“:1080″
  • „$app_version“:“4.11.18.6150″
  • „$has_telephone“:true“
  • „$wifi“:true
  • „$bluetooth_version“:“ble“
  • „token“:“bdbd82f1991ac-775d539539aa2b49833″
  • „referrer“:“utm_source=google-play&utm_medium=organic“
  • „utm_source“:“google-play“
  • „$device_id“:“147666a8-772a-4221-b040-52ec4be06d88″
  • „Account Type“:“Free“
  • „Family User Type“:“None“
  • „Biometrics Enabled“:“false“
  • „Android Autofill Enabled“:“false“

Insgesamt fällt sein Urteil vernichtend aus:

In der aktuell vorliegenden App-Version dürfte LastPass nicht nur gegen die DSGVO verstoßen, sondern auch hinsichtlich der Sicherheit ist das Vorgehen des Anbieters äußerst fraglich. Die Integration von proprietären und intransparenten Fremdcode ist nicht gerade ein Indiz dafür, dass Sicherheit bei der LogMeIn, Inc. einen hohen Stellenwert einnimmt. [...] Wer tatsächlich LastPass nutzt, dem empfehle ich den Passwort-Manager zu wechseln.

Bitwarden machts besser

Bitwarden ist Open-Source, Ende-zu-Ende-verschlüsselt, gut auditiert und kostenlos für alle bekannten Plattformen verfügbar. Basisfunktionen wie Passwortgenerator, Mehrgerätsynchronisierung und Biometrische Authentifizierung sind auch im Gratistarif zu haben. In den bezahlten Tarifen sind zudem erweiterte Funktionen wie beispielsweise Mehrbenutzer- und FamiIienkonten verfügbar. In diesem Zusammenhang ist möglicherweise der sogenannte Emergency Access von Bitwarden interessant, der vertrauenswürdigen Personen des Kontoinhabers im Fall der Fälle Zugang ermöglicht.
Im Gegensatz zu seinen proprietären Konkurrenten lässt sich Bitwarden auch selbst beherbergen. Ganz gleich ob Privatperson oder Organisation: das Passwortmanagement bleibt somit in den eigenen vier Wänden. In einem Folgeartikel werden wir näher auf den Aspekt des Self-Hostings zu sprechen kommen.

Feature Box

🛠Bitwarden Free Account 





⏺   Open-Source
⏺   Zero-knowledge encryption
⏺   Unlimited devices + syncing
⏺   Unlimited device types
⏺   Browser, Mobile, Desktop apps
⏺   Unlimited vault items
⏺    Secure password generator
⏺    Basic two-step login
⏺    Free cloud hosting
⏺    Encrypted export
⏺    Store notes, credit cards, identities
⏺    Bitwarden Send

Einen Wermutstropfen gibt es allerdings - Leider ist auch die Android-App von Bitwarden nicht frei von Sünde: Die Play-Store-Version kommt mit zwei Trackern daher, Google Firebase Analytics und Microsoft Visual Studio App Center Crashes.

Auch Bitwarden ist nicht ohne Fehl und Tadel. Screenshot: s3n·net (via).

Aber Bitwarden wäre nicht Open-Source, wenn das nicht besser ginge.

Tracker austreiben mit F-Droid

F-Droid ist ein Android App-Store für Open-Source. Und Open-Source allein.
Freundlicherweise bietet Bitwarden ein externes Repo an, um Bitwarden über F-Droid zu installieren und zu aktualisieren. Wie bei F-Droid üblich, kommen dabei keinerlei Tracker ins Haus. Besuchen Sie dazu https://mobileapp.bitwarden.com/fdroid/ (enlisch, schlecht) oder folgen Sie einfach unseren Anweisungen (deutsch, gut).

  1. Installieren Sie die F-Droid App.
  2. Scannen Sie den QR-Code links unten mit Ihrer bevorzugten  👓 Scanner App .
    Tippen Sie auf  ↗️ Link öffnen .


    Bitwarden hat es leider versäumt, der mit dem QR-Code verknüpften Adresse den entscheidenen Hinweis zu verpassen und das vielsagende Präfix:
    fdroidrepos:// voranzustellen. Wählen Sie daher  ↗️F-Droid , falls Sie nach dem Öffnen des Links den Dialog Öffnen mit oder  Mit App XYZ öffnen sehen. Für gewöhnlich erscheinen F-Droid-Repo-Links gleich im folgenden Fenster (ganz links; von rechts nach links: QR-Code scannen, Link mit F-Droid öffnen, Paketquelle hinzufügen):

  3. Überprüfen Sie die Adresse. Wirklich. Sie sollte nicht nur korrekt, sondern auch vertrauenswürdig sein, i.e. auf die richtige Domain verweisen, in diesem Falle auf *.bitwarden.com . Wenn Sie sicher sind, tippen Sie auf  ↗️OK .
    ℹ️  Zweimal messen, einmal schneiden.
  4. Suchen Sie in F-Droid nach Bitwarden. Falls nötig aktualisieren Sie zuvor. 
  5. Tippen Sie auf  ↗️Bitwarden  und dann auf  ↗️Installieren .
  6. Fertig. Fassbrause / App öffnen ☑️
    Folgende Schritte sind nur nötig, falls die automatische Erkennung versagt. In diesem Falle tragen Sie die Informationen manuell ein.
  1. Wählen Sie in der F-Droid App den Reiter  ↗️Einstellungen .
  2. Tippen Sie auf  ↗️Paketquellen- Zusätzliche Paketquellen hinzufügen.
  3. Tippen Sie auf das  ↗️➕ Symbol  in der rechten oberen Ecke.
  4. Geben Sie die Adresse der Paketquelle an. Tippen Sie auf  ↗️Hinzufügen .
Pferdefuß F-Droid - Oder Pferdefuß Bitwarden?

Die automatische Synchronisation fehlt in der F-Droid-Version, auch mit installiertem microG hat man kein Glück. Bitwarden registriert sich nicht am Cloud Messaging-Modul von microG. Allerdings ist die manuelle Synchronisation nur einen Daumenwisch entfernt - durchaus zumutbar, wie wir finden. Die Synchronisation funktioniert beidseitig, vom Mobilgerät zum Desktop und umgekehrt. Die Desktop-App hat leider keinen bequemen Button zum draufklicken, auch F5 funktioniert nicht, ein Tastaturkürzel scheint ebenfalls nicht zu existieren. Daher muss dort im Menü Datei  der Punkt Tresor jetzt synchronisieren gewählt werden.
Dass es auch anders geht, zeigt beispielsweise Signal. Die App aus F-Droid registriert sich brav am Push Server und synchronisiert sich über die freie microG-Implementierung des Firebase Messaging Clients automatisch. Prinzipiell sollte dieser Funktionalität auch mit Bitwarden in der F-Droid-Variante nichts im Wege stehen, allerdings wird Firebase Messaging innerhalb dieser derzeit nicht vom Hersteller unterstützt.

Fazit und Verfügbarkeit

Bitwarden ist ein toller Passwortmanager für Beruf und Familie, für Einzelkämpfer aber  nicht unbedingt notwendig. Die Gratis-Funktionen sind üppig, ein privates Abo gibts ab $·10 pro Anno (sic). Naturgemäß kommt bei Bitwarden im Gegensatz zu KeePass die eigene Passwort-Datenbank mit dem Internet in Berührung - die Sicherheit steht und fällt also mit der Stärke des Passworts und weiterer Maßnahmen wie Zwei-Faktor-Authentifizierung, es sei denn man entscheidet sich, den Server selbst im Heimnetzwerk zu betreiben. Bitwarden ist für alle großen Plattformen verfügbar. Aufgrund der Tracker in der Play Store-Version der App raten wir davon ab und empfehlen das Einbinden des Bitwarden-Repos und den Download der darüber erhältlichen F-Droid-Version der App. 

Creative Commons Lizenzvertrag Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Keine Bearbeitungen 4.0 International Lizenz.

 

Comments